BlogZilla

Aggiornamento (09/10/07 01:00)

Barbara mi segnala nei commenti un problema alquanto strano:

Ciao Gianni, ho installato questa estensione che sembra veramente utile mi è capitato l’altro giorno un problema con Gmail ossia un’email di spam inviata dal mio account Gmail a parte dei miei contatti ( tale email l’ho trovata tra l’altro anche nelle sent email). Inizialmente ho pensato potesse essere un problema di Firefox + Gmail ma leggendo in giro l’ultima versione di Firefox mi dicono abbia risolto le vulnerabilità JAR? Ho scritto all’assistenza Gmail e mi hanno semplicemente suggerito di cambiare password … come può capitare una cosa del genere ( una settimana fa era capitata anche ad un amico, la stessa identica cosa) Scusa se ti rompo in OFF TOPIC ma tu sei un esperto ho letto di recente anche un articolo su internet magazine che parlava di quest’argomento (sicurezza Gmail) se non erro magari mi sai illuminare un pò, grazie mille e scusa dell’off topic

Dalla versione 2.0.0.10 in su il problema del protocollo jar è stato risolto e il bug dell’inoltro automatico che permetteva di creare una backdoor in Gmail è stato tappato quasi immediatamente. Quest’ultimo ha poco a che vedere con l’invio di email spam, è comunque consigliato dare un’occhiata alle impostazioni del filtro e assicurarsi che sia tutto ok.

Cosa può aver causato il problema? Generalmente le ipotesi sono 2:

1) Una vulnerabilità in Gmail non ancora resa nota (0-day).
2) Lo spammer è entrato in possesso dell’account Gmail a causa di una password debole.

La seconda è meno probabile. Se i messaggi spam sono stati inviati solo alla lista contatti si evince che l’operazione non è stata eseguita manualmente ma è frutto di uno script.

Navigare con XSS Warning attivo può aiutare a bloccare l’azione di eventuali script pericolosi.

Sarebbe interessante capire cosa è stato inviato, a quante persone (casuali o una lista sequenziale?) e con quale frequenza, oppure si tratta di una singola email inviata a più persone?

Aggiornamento (09/10/07 01:00):

Anche qualche utente Yahoo! in questi giorni lamenta un problema simile (accenna a una presunta manomissione delle credenziali).

Il messaggio spam è di questi giorni. Su ebay se ne trovano tantissimi, tutti dello stesso tipo, ne parlano su questo forum, altri su Yahoo! Gruppi.
Questo ad esempio è stato cancellato ma è ancora visibile dalla Cache di Google, lo stesso messaggio inviato dalla posta di Barbara.

I siti sui quali viene pubblicizzata la vendita dei prodotti sono stati registrati in Cina nel mese di ottobre.

di Gianni Amato, via GianniAmato.it

• 
• 
• 
• 
• 
• 

FireFox, Il browser di casa Mozilla, ha ormai conquistato le preferenze di una nutrita schiera di utenti, non solo nell’ambito delle comunità degli sviluppatori open-source, ma anche e soprattutto da parte di tutti gli estimatori in genere del cosiddetto "software libero".

I motivi di questo successo sono molteplici, ma non costituiscono l’argomento principale di questo articolo, che vuole invece puntare l’attenzione sul come poter sponsorizzare all’interno delle pagine di un sito web, il browser della "volpe di fuoco", cercando di ridurre al minimo l’invasività dell’operazione.

Il metodo più classico e certamente più diffuso è quello di inserire un banner di dimensioni opportune, all’interno di una o più pagine del proprio sito o, se si desidera rafforzare la presenza del messaggio, addirittura nel template del sito stesso. A tal scopo si possono utilizzare banner già predisposti allo scopo reperibili su Spread Firefox! (ringrazio Gioxx, consigliere dell’associazione Mozilla Italia, per la segnalazione indiretta).

Non è un mistero che Google finanzi la Mozilla Foundation^W: infatti chi partecipa al programma AdSense, può anche scegliere di inserire tra le tante tipologie di annuncio disponibile, anche dei pulsanti referral che sponsorizzano FireFox in congiunzione, naturalmente, con Google Toolbar.

Tra questi, quello che mi ha colpito di più è senz’altro quello che può comparire sotto forma di barra orizzontale su fondo giallino in testa all’header di una pagina, solo nel caso in cui, naturalmente, il browser utilizzato non sia FireFox. L’effetto, molto incisivo e immediato, a lungo andare, può risultare fastidioso per l’utente. Proprio per questo motivo ho pensato, più per sperimentazione che per reale necessità, di realizzare un semplice plug-in che fosse in grado di rendere lo stesso messaggio, dando però l’opportunità all’utente di disattivarlo, anche per le successive visite allo stesso sito.

Il banner, che si presenta come quello in figura, ospita un pulsante contenente una X che, se selezionato, consente di nascondere immediatamente il messaggio e di impedirne la visualizzazione anche durante le sessioni di navigazione successiva.

Questo sito viene visualizzato al meglio con Firefox.X

Come funziona

Il plug-in è stato realizzato con un semplice javascript^W per renderlo sia cross-browser che indipendente dal tipo di pubblicazione: può essere inserito sia all’interno di pagine statiche che dinamiche o template.

A seconda della lingua impostata sul browser di provenienza, il messaggio verrà mostrato:

• In italiano se il browser è localizzato nella lingua medesima
• In inglese se il browser è localizzato in qualunque altra lingua

Il banner non viene mostrato, ovviamente, se il client di navigazione è FireFox.

Se lo stesso client ha l’interprete javascript disattivato, semplicemente non verrà eseguito e di conseguenza non verrà mostrato il messaggio.

La pressione del pulsante di chiusura, oltre che a nascondere immediatamente il banner, provvede anche al salvataggio di un cookie^W della durata di 90 giorni, sul client del visitatore, al fine di tenere traccia, per le visite successive, della scelta operata dall’utente di non mostrare più il messaggio.

Ovviamente, se il visitatore in tale intervallo di tempo provvede alla pulizia (leggi eliminazione) della cache dei cookie del suo browser, alla successiva visita del sito ospitante il plug-in, il messaggio verrà nuovamente mostrato.

Installazione

Anzitutto è necessario scaricare il plugin: bvfirefox.js (2,08 kb)

Successivamente è sufficiente inserire immediatemente dopo il tag <BODY> della pagina HTML^W (o template) ove si vuol inserire il banner, la seguente riga di codice:

<script language="javascript" src="bvfirefox.js" />

L’attributo src del tag script deve contenere il percorso relativo esatto del file bvfirefox.js, pena la non esecuzione dello stesso. Nell’esempio indicato si presume che il file sia reperibile nello stesso percorso relativo alla pagina che contiene il riferimento allo script.

Il file javascript, non è compresso per dare l’opportunità di visionare il codice ed eventualmente personalizzarlo.

Conclusioni

Personalmente, non amo molto la pubblicità sul web, perlomeno non quella particolarmente invasiva: il plug-in realizzato vuole essere un punto di partenza per la realizzazione di banner che consentano all’utente di scegliere di nasconderli (o non mostarli affatto) nel caso in cui li si ritenga fastidiosi per la consultazione del sito che li ospita.

di Cristiano Fino, via cristianofino.net

• 
• 
• 
• 
• 
• 

Stamattina in azienda si discuteva di Mozilla e del suo rapporto con Google. Io -come sempre- tendo a stare zitto più tempo possibile cercando di non radere al suolo colleghi che si informano su siti che “per sentito dire” spacciano notizie fasulle, incomplete, a volte inventate pur di realizzare inesistenti scoop sfruttando un nome ormai sulla bocca di tutti dopo la fatica fatta per renderlo un marchio vincente.

Premessa: sono di parte, passo parte del mio tempo libero collaborando attivamente con Mozilla Italia, sono un consigliere dell’associazione, conosco i fatti veri senza necessità di inventare cagate da raccontare in giro, so cose “voi umani non potete neanche immaginare”

Mettiamola così: Google finanzia in modo massiccio la Mozilla Foundation. Ci crede, pensa che Firefox possa davvero combattere il predominio di Microsoft Windows Explorer (ex Internet Explorer). Il software è valido, i programmatori sanno il fatto loro e sono stati in grado di tirare fuori un applicativo che ha velocemente conquistato l’approvazione del pubblico di massa togliendo una buona fetta di utenza sia dal fronte Microsoft (con tutte le varianti di Explorer) che dall’Operiano (mi si conceda licenza poetica ).

Google NON è Mozilla. Durante l’ultimo incontro con Tristan Nitot più volte è stata avanzata l’ipotesi o fatta la fatidica domanda “e se Google decidesse di abbandonarvi?” ma la risposta è sempre stata la stessa: “Google è un donatore, non un datore di lavoro“. Fino a qualche tempo fa (neanche tanto) la sopravvivenza e tutti gli introiti dell’azienda venivano dalla vendita dei gadget, dal tempo libero dei programmatori e/o dei gruppi di assistenza tecnica, dal supporto morale / fisico / finanziario della comunità. Nell’agosto del 2005 Mozilla decise di fondare una Corporation per far si che grosse aziende potessero finalmente dare il loro supporto in modo trasparente. La prima fu AOL, a seguire tutte le altre. La nascita di una “S.p.a.” era necessaria. Anche in Italia le leggi sono parecchio restrittive nei confronti delle associazioni senza scopo di lucro (lo sappiamo fin troppo bene in Mozilla Italia): non si possono ricevere soldi come sponsorizzazione, tutte le uscite devono essere giustificate ed utilizzate per sostenere l’attività dell’associazione stessa, non si hanno guadagni di alcun tipo.

Google è solo un nome conosciuto che, se associato ad un altro grande logo, lascia spazio a facili supposizioni, a informazioni dubbie, a ipotesi infondate. Non fa eccezione nessuno (siti specializzati, blog, amici, colleghi, parenti). La cosa che più mi fa ridere è un’altra. Sono anni che macchine desktop e portatili nascono con sistemi operativi Microsoft forniti di Windows Internet Explorer. Articoli che parlano di “strani passaggi di dati verso Microsoft e simili” ce ne sono a bizzeffe, molto probabilmente fasulli anche loro. Perché quindi si grida allo scandalo contro Firefox? L’azienda (ed il software) è trasparente, qualunque programmatore con sufficienti capacità di interpretazione del codice può scorrere il sorgente e trovare ciò che gli interessa. Provate a farlo con Explorer.

Chiudo con un ultima riflessione riferita ad un particolare post del nostro forum:

http://forum.mozillaitalia.org/index.php?topic=29956.0

Ora: tralasciando la facile battuta sul nick dell’utente che ha cominciato la discussione, vorrei provare a buttare altre due righe oltre a quelle che gli ho dato “in risposta diretta“:

• All’atto dell’installazione del browser vengono impostati due parametri fondamentali come predefiniti: home page di Google (personalizzato per Firefox) e barra di ricerca che punta allo stesso identico motore (in alto a destra). In entrambi i casi sarà possibile mettere mano alle impostazioni ed estirpare il noto motore di ricerca sia in pagina iniziale (mettendo la vostra pagina preferita) che nella search bar (installando plugin di decine di altri motori).
• Google permette di proteggersi da siti malevoli (casi di phishing) attraverso un proprio database costantemente aggiornato. Da Strumenti / Opzioni / Sicurezza si può decidere di utilizzare una lista di siti sospetti senza fare appoggio a BigG. Per completezza di informazione, se si clicca sull’opzione “Verifica contattando Google…“, Firefox propone un messaggio che informa l’utente su quanto accadrà da quel momento in poi (fino alla successiva modifica dell’opzione).
• Solo installando la toolbar di Google sarà possibile salvare e tenere attivo l’accesso a tutti i servizi del portale. Il software non si installa da solo, è l’utente a fare tutto.
• La storia del cookie di Google valido fino al 2038 non dipende da Firefox, basterebbe informarsi in modo decente.

La smettiamo quindi di tirare fuori della gran fuffa?

di Gioxx, via Gioxx’s Wall

• 
• 
• 
• 
• 
• 

Da alcuni giorni si parla in rete di un nuovo problema di sicurezza critico che coinvolge la gestione del protocollo "jar:" da parte del browser Firefox sfruttabile da utenti malintenzionati per condurre attacchi di "cross site scripting" attraverso molti popolari servizi web, tra cui Google Gmail.

La vulnerabilità è stata portata alla luce da Petko D. Petkov, security analyst del gruppo open-source GNUCitizen, più di 10 giorni fa. L’analisi della problematica ha coinvolto successivamente anche altri popolari ricercatori di sicurezza, come Michal Zalewski e Aviv Raff. Bisogna tuttavia evidenziare che sul database di bug tracking di Mozilla il bug principale legato alla falla era stato segnalato da Jesse Ruderman già a Febbraio scorso (Bug 369814).

Mozilla ha confermato l’esistenza della problematica tramite il blog ufficiale Mozilla Security. Secondo l’azienda il problema di sicurezza è legato al fatto che il protocollo jar: non viene ristretto agli archivi java e può essere utilizzato per aprire qualsiasi tipo di formato file ZIP. Un attacker può quindi sfruttare questo bug per evadere il filtering dei siti che permettono agli utenti di caricare contenuti e ed utilizzare questi per lanciare un attacco di cross site scripting. Una descrizione dettagliata degli attacchi è stat pubblicata da Petkov in un ultimo intervento dedicato al problema.

Da Mozilla Security: "Firefox supporta lo schema Java Archive URI che permette l’ addressing dei contenuti di archivi ZIP. Un attacker potrebbe caricare un file in formato zip su un sito sicuro che permette l’upload di contenuti. La vittima clicca su un link sul sito dell’attacker, o in un messaggio di posta, che collega al contenuto caricato sul sito sicuro. Dato che il contenuto viene caricato da questo sito, il contenuto del file ZIP si esegue nel contesto del sito sicuro. Questo può permette all’attacker di accedere ad informazioni conservate sul siti sicuro senza che l’utente ne sia a conoscenza". Mozilla evidenza anche l’esistenza di una seconda problematica di sicurezza correlata (Bug 403331): se un archivio ZIP viene caricato da un sito tramite un redirect, Firefox utilizza il contesto del sito di partenza. Questo bug permette ad un attacker di sfruttare siti con "open redirect" per hostare contenuti sui propri siti nocivi ed eseguirli con i permessi del sito di redirecting.

Bisogna evidenziare che in rete è stato pubblicato un proof of concept che dimostra l’exploit di entrambe le problematiche in un attacco contro il popolare servizio di webmail Gmail. Il PoC permette all’attacker di accedere ai contatti salvati sull’account della vittima.
Mozilla ha affermato il bug relativo al "contesto di sicurezza" sarà corretto nella release Firefox 2.0.0.10, attualmente in testing(nel caso di reindirizzamenti, sarà considerato il sito web finale come quello di origine). Nelle future versioni di Firefox inoltre sarà supportato lo schema JAR solo per i file che vengono distribuiti con il corretto MIME type "application/java-archive". Considerata la disponibilità pubblica di un codice PoC, è probabile che anche Google interverrà presto per bloccare questo tipo di attacchi sui propri servizi web (eliminando i problemi di open redirecting).
Ricordiamo che gli utenti possono proteggersi da questi e da molti altri simili attacchi utilizzando su Firefox la popolare plug-in NoScript. Come spiegato da Giorgio Maone, autore della potente estensione, NoScript è in grado di impedire alle risorse remote JAR di essere caricate come documenti, neutralizzando tentativi di attacco XSS tramite il protocollo jar: protocol (maggiori dettagli nella FAQ).

di Netquik, via Tweakness

• 
• 
• 
• 
• 
• 

Il browser Firefox ha raggiunto una popolarità molto elevata sorpassando, la scorsa settimana, i 400 milioni di download. Lo sviluppo del browser non sarebbe possibile senza le donazioni, gran parte delle quali effettuate da Google.

Il legame tra le due aziende è molto forte e a fronte delle donazioni, Google ottiene l’integrazione come homepage personalizzata e la titolarità del box di ricerca integrato nel browser.

Il rapporto tra Mozilla e Google potrebbe tuttavia incrinarsi, secondo il New York York Times. A causare malumore tra le parti dovrebbe esserci AdBlock Plus, un’estensione capace di bloccare il caricamento delle campagne pubblicitarie, comprese quelle Google AdSense. L’estensione è disponibile per il download dal sito Mozilla, tra quelle raccomandate e più popolari.

La pubblicità, specie in quelli gratuiti come il nostro, serve a finanziare un servizio offerto in maniera gratuita agli utenti: AdBlock blocca le pubblicità e di conseguenza impedisce l’offerta gratuita di contenuti a tutti gli utenti della rete. Il meccanismo, rapportato a Google, rappresenta un danno evidente per un’azienda quotata in borsa.

"Google conferma il suo supporto a Mozilla e Firefox", questa è stata la risposta dell’azienda al Times, ma gli esperti del settore rimangono scettici. Danny Carlton, sviluppatore web, ha messo a punto una tecnologia che non permette l’accesso al suo sito agli utenti con l’estensione AdBlock Plus installata.

"Qualsiasi proprietario di un sito ha il diritto di fare la stessa cosa", ha dichiarato Carlton.

Il Times ritiene che Google possa ridurre le donazioni a Mozilla, la quale si vedrebbe costretta a ridimensionare il progetto o addirittura a chiuderlo. L’azienda di Mountain View non perderà i 400 milioni di utenti del browser e per ovviare alla morte di Firefox potrebbe acquisire aziende del settore o crearsi un browser proprietario.

La visione del Times rimane tale, Google ha smentito e Mozilla non ha rilasciato dichiarazioni. L’associazione si è esposta su tutt’altro argomento al sito web TechCrunch, lanciando un appello ad Apple per una partnership che la porti ad abbandonare Safari per passare a Firefox. Il nemico comune è stato identificato, senza sorpresa, in Microsoft. Apple raccoglierà l’invito?

Fonte: Tom’s Hardware

• 
• 
• 
• 
• 
• 

Da qualche tempo avrete notato uno strano comportamento del bottone “feed” nella barra URL di Firefox. Anziché redirigervi alla pagina di scelta tra Google Reader e iGoogle, vi porta direttamente all’aggiunta feed in iGoogle. Gravissimo errore per tutti quelli che leggono decine di feed (centinaia nel mio caso e in altri).

Traffyk segnala un metodo di risoluzione molto comodo. L’aggiunta del bookmarklet “Subscribe” tra i vostri segnalibri affinché si possa aggiungere velocemente tutti i feed con un solo clic.

La mia risoluzione sarà un tantinello più complicata (neanche tanto) ma permetterà di modificare il comportamento di Firefox per fare riferimento al solito bottone feed già presente.

Aprire l’about:config e cercare la chiave “browser.contentHandlers.types.2.uri“:

Al posto della stringa predefinita (http://fusion.google.com/add?feedurl=%s) inserire:

http://www.google.it/reader/view/feed/%s

Per sicurezza controllare che la chiave “browser.contentHandlers.types.2.title” sia impostata a “Google Reader“. Fatto questo occorrerà riavviare il browser per applicare le modifiche.

L’intenzione del sottoscritto era quella di realizzare un’estensione che facesse tutto automaticamente senza farvi toccare l’about:config. Il lavoro è pronto ma non funziona correttamente nonostante l’aiuto del buon Davide che sviluppa quotidianamente estensioni. In un prossimo post voglio comunque analizzarla con tutti voi e farvene capire il funzionamento.

di Gioxx, via Gioxx’s Wall

• 
• 
• 
• 
• 
•